Akıllı kartlar: Kritik verilerimizin adresi

Akıllı Kartlar, üzerlerindeki mikroişlemci, veri depolama alanları ve şifreleme donanımlarıyla kişisel verilerin belirlenen amaçlar doğrultusunda işlenip saklanmasında ve gerektiğinde doğrulanmış uygulamalarla paylaşılmasında kullanılan elektronik tümdevrelerdir (IC). İlk olarak 1968 yılında geliştirilmeye başlanan akıllı kartlar, bugün başta kimlik kartı, pasaport, kredi kartı, sim kart, e-bilet ve sağlık kartı olmak üzere birçok üründe kullanılmaktadır.

Üründen ürüne değişmekle birlikte genelde kredi kartı boyutlarında plastik levhalara entegre edilen tümdevreler, kart okuyucularla temaslı ya da temassız olarak iletişim kurabilmektedir. Akıllı kartlar, özellikle bankamatik kartı olarak kullanılan manyetik kartlardan binlerce kat fazla veri depolayabilmekte ve farklı uygulamaları aynı anda destekleyebilmektedir. Akıllı kartlar bu yeteneklerinden dolayı yoğun olarak kullanılmaktadır.

Akıllı kartların genel özellikleri

Akıllı kartlar temel olarak bir mikroişlemci ve çevre birimlerden oluşur. Kullanılacak mikroişlemci hedeflenen performans ve güç tüketimine göre 8bit, 16bit, 32bit gibi farklı mimarilere sahip olabilir. Dış dünyadan gelen komutların yorumlanması, istenen işlemlerin mikroişlemci ve çevre birimleri kullanılarak gerçekleştirilip cevabın uygun formatta gönderilmesi işlevini yerine getiren işletim sistemi akıllı kartların önemli bileşenlerinden bir diğeridir. Bu işletim sisteminin depolanacağı uygun büyüklükte bir ROM (Sadece Okunabilir Bellek), işlemler esnasında kullanılacak bir RAM (Rastgele Erişilebilir Bellek) ve kullanıcı verilerinin, sertifika ve anahtar gibi bilgilerin saklanmasını sağlayacak uçucu olmayan bir bellek de (Flash, EEPROM) akıllı kartın hafıza bileşenlerini oluşturmaktadır.

Akıllı kartlar, yüksek güvenlik gerektiren uygulamalarda kullanıldıklarından Simetrik ve Asimetrik kripto işlemlerini yüksek performansla gerçekleştirmeleri gerekmekte ve buna uygun donanımlar barındırmaktadır. Yoğun olarak kullanılan simetrik algoritmalar arasında DES3 (Data Encryption Standart) ve AES (Advanced Encryption Standard), asimetrik algoritmalar arasında ise RSA (Rivest, Shamir, Adleman) ve ECC (Elliptic Curve Cryptography) yer almaktadır.

Dış dünya ile haberleşmeyi temaslı ve temassız olmak üzere iki farklı şekilde gerçekleştiren akıllı kartlardan bazıları iki arayüzü birden barındırdıkları için çift arayüzlü olarak adlandırılmaktadır.

Temaslı iletişim için ISO-7816, temassız iletişim içinse ISO-14443 standardı kullanılmaktadır. Asıllama (Authentication) işlemleri ve iç güvenlik fonksiyonlarının yoğun olarak ihtiyaç duyduğu rasgele sayıları üreten Gerçek Rasgele Sayı Üreteci (TRNG) de kritik öneme sahiptir.

Bunlar dışında akıllı kartlarda Regülatör, Osilatör, PLL (Phased Locked Loop), Band Gap gibi yardımcı donanımlar ile Akıllı Kartlarda Güvenlik bölümünde detaylı olarak anlatılacak Aktif Kalkan, Algılayıcılar, CRC (Cyclic Redundancy Check – Döngüsel Artıklık Denetimi) gibi modüller yer almaktadır.

Akıllı kartlarda güvenlik

Saldırılar

Akıllı kartlar hem son derece kritik verilerin işlenip saklanmasında görev aldıkları hem de çok yaygın olarak kullanıldıkları için saldırılara açık ürünlerdir. Uygulanan başlıca saldırılar arasında yan kanal analizi, hata yaptırma ve tersine mühendislik saldırıları sayılabilir.

Yan kanal analizi, devrenin çalışması sırasında beslemeden çektiği akımın ya da dışarı yaydığı elektromanyetik yayınımın kaydedilip istatistiksel yöntemlerle analiz edilerek gizli bilgilerin elde edilmesini amaçlayan saldırılardır. Bu saldırılar devrenin çalışmasını bozmadıklarından işgalci olmayan saldırılardır.

Hata yaptırma saldırıları, tümdevrenin besleme gerilimi, ortam sıcaklığı, saat frekansı gibi dış ortam koşullarının izin verilen koşulların dışına çıkarılarak ya da lazer atışı gibi yöntemlerle hatalı çalışmasına yol açılarak gizli bilgilerin elde edilmesini amaçlayan saldırılardır.

Tersine mühendislik saldırıları, tümdevreye fiziksel ya da kimyasal yöntemlerle müdahale edilerek elektron mikroskobu gibi cihazlar yardımıyla incelenmesi ve bilgi toplanmaya çalışılmasına dayanır. Bu saldırılarda tümdevrenin işlevini yitirmesi göze alınabileceği gibi, FIB (Focused Ion Beam – Odaklanmış İyon Demeti) gibi ileri teknoloji ürünü cihazlarla işlevine zarar vermeksizin çalışma esnasında da veri toplamak mümkündür.

Güvenlik önlemleri

Akıllı kartlar tüm bu saldırılara karşı güçlü güvenlik önlemleriyle donatılmış olarak üretilir ve güvenlik testleri yapılarak sertifikalandırıldıktan sonra kullanıma sunulurlar.

Yan kanal analizi saldırıları yapıları gereği işlenen verinin güç tüketimi üzerinde yarattığı etkileri temel aldıklarından bu saldırılara karşı alınan önlemlerin en temel amacı da işlenen veri ile güç tüketimi arasındaki korelasyonun ortadan kaldırılmasıdır. Bu kapsamda kriptografik işlem modüllerinde algoritmaların rasgele sayılarla maskelenerek çalıştırılması, işlem sırasında, öncesinde ve sonrasında sahte işlemler yaptırılması gibi önlemler alınmakta ve bu sayede tümdevrenin üst düzey saldırılara karşı dahi güvenli olması sağlanmaktadır.

Hata yaptırma saldırılarına karşı alınan önlemlerin başında tümdevrenin çalışma koşullarının belirlenen aralığın dışına çıktığını tespit eden algılayıcıların kullanılması yer alır. Bu sayede bir saldırı anında çalışmanın durdurulması ve bilgi kaçağının önlenmesi mümkün olmaktadır. Bir diğer alınan önlem kritik işleve sahip kütüklerin ve mikroişlemcinin ikişer adet uygulanıp birbirlerini kontrol edecek şekilde tasarlanmalarıdır. Bu sayede lazer saldırısı gibi sebeplerle ortaya çıkacak hatalar anında tespit edilerek doğru çalışma garanti edilmektedir. Ayrıca mikroişlemci ve kripto modüllerinde çalışma rasgele durdurularak saldırganın yapmak istediği saldırının zamanlamasını tutturması zorlaştırılmaktadır.

Hata yaptırma saldırılarının bir amacı da saklanan verileri bozarak hatalı verilerle işlem yaptırmaktır. Bu nedenle RAM, ROM ve Flash Bellekte saklanan verilerin CRC yöntemi ile veri bütünlüğü sağlanmaktadır. Veri bütünlüğünün bozulması durumunda kartın çalışması durdurularak bilgi kaçağı oluşması engellenmektedir. Simetrik ve asimetrik şifreleme işlemleri sırasında yapılabilecek hata yaptırma saldırılarına da algoritmik seviyede önlem alınmakta, işlem sonuçlarının hatasız olarak dış dünyaya iletilmesi sağlanmaktadır.

Tersine mühendislik saldırılarını önleme yöntemlerinin başında Aktif Kalkan gelmektedir. Aktif Kalkan tümdevrenin en üst metal tabakasında yer alan birbirine paralel metal hatlardan oluşur. Bu hatlara rasgele veriler uygulanır ve kartın farklı noktalarından okunarak kontrol edilir. Eğer aktif kalkan bir açık devre ya da kısa devre sezerse çalışma durdurulur. Bu sayede saldırganın devreye fiziksel olarak müdahale edip çalışma esnasında alt katmanlara erişmesi engellenmiş olur.

Verilere erişimin zorlaştırılması amacıyla ROM, RAM ve Flash Bellekteki veriler şifreli halde saklanır. Bu güvenlik önlemi ile saklanan veriler tersine mühendislik yöntemleriyle okunsalar bile güvenlik açığı oluşmasının önüne geçilmiş olur. Ayrıca ROM ve RAM’da saklanan verilerin adresleri de karıştırılır ve sıralı okumaların dışarıdan gözlemlenmesi engellenir. Benzer nedenlerle mikroişlemci ile kripto blokları arasındaki veri ve adres yolları da şifrelenmişlerdir. Bunların yanında RAM ve Flash Bellek bloklarından veri okunmadığı zamanlarda rasgele okumalar yapılarak hassa verilerin okuma zamanlamasının saldırgan tarafından tespit edilebilmesinin önüne geçilmektedir. Saldırganın bu yolları dinleyebildiği durumda bile hassas verilere erişmesi şifreleme nedeniyle mümkün olmayacaktır.

Akıllı kartlarda alınan hemen hemen tüm güvenlik önlemleri rasgele sayılara dayanmaktadır ve bu sayıların yüksek kaliteli olması büyük önem arz etmektedir. Bu nedenle RNG (Rastgele Sayı Üreteci) tarafından üretilen tüm rasgele sayılar testten geçirilmeli ve belirlenen metrikleri sağlayanlar kullanılmalıdır. Tüm bu güvenlik önlemlerinin yanında tümdevrenin açılış anında mikroişlemci, kripto modülleri ve TRNG gibi kritik blokların self testleri yapılarak hatasız çalıştıkları kontrol edilerek çalışma başlatılır.

YİTAL Akıllı Kart Geliştirme Projesi

2006 yılında YİTAL’de başlayan akıllı kart geliştirme projesinde milli olarak tasarlanan ilk prototipler 2009 yılında üretilmiş ve pilot uygulamalarda başarıyla test edilmiştir. Takip eden dönemde performans olarak iyileştirilen 2 farklı akıllı kart versiyonu üretilmiş ve EAL 5+ güvenlik sertifikası alarak kullanıma hazır hale gelmiştir. Bu kartlardan bir bölümü Türkiye ve Kuzey Kıbrıs Türk Cumhuriyeti’nde kimlik kartı olarak dağıtılmış olup aktif olarak kullanılmaktadır. Temaslı ve temassız olmak üzere çift arayüzlü olarak tasarlanan yeni akıllı kart versiyonunun da 2021 yılı içinde kullanıma sunulması planlanmaktadır.

Tüm dünyanın dijitalleştiği ve elektronik ortamın her zamankinden yoğun olarak kullanıldığı günümüzde kişisel verilerin korunumu, mahremiyet, finansal güvenlik gibi konular büyük önem kazanmaktadır. Akıllı kartların yüksek güvenlik düzeyleri ve resmi işlemlerden finansal operasyonlara hemen her alanda ihtiyaç duyulan ürünler olmaları nedeniyle önümüzdeki süreçte de yoğun olarak kullanılmaları beklenmektedir. YİTAL olarak geliştirdiğimiz akıllı kartların kimlik kartı, pasaport, güvenli mikro SD kart, HSM gibi ürünlerde kullanımı hedeflenmektedir.